Movistar modificó (sin éxito) a última hora de la tarde de ayer el HTML de su web para evitar un fallo cross-site scripting que nos permitió elaborar nuestra broma del día de los inocentes al introducir aparentemente en su web información falsa sobre el lanzamiento de una modalidad FTTH de 300 Mbps.
De forma improvisada urdimos una broma para no faltar a la cita del 28 de diciembre. Sabiendo que el código de la web de Movistar es algo caótico y fácilmente podía albergar algún tipo de problema XSS, nos pusimos a buscar en el código fuente alguna oportunidad para realizar nuestra travesura.
La vulnerabilidad la encontramos en el código que se encarga de mostrar el sistema Wisibi, con el que el visitante de la web puede contactar con un comercial de Movistar por su web. Este fragmento, situado en la línea 1019, lee de la dirección introducida en el navegador el parámetro url
y más tarde crea un iframe dentro de la web de Movistar mostrando el contenido de la URL que apunta.
Tras copiar el HTML renderizado de su comparativa de modalidades, lo modificamos y albergamos en nuestro servidor. Elaboramos una URL algo rebuscada a partir de la IP en décimal de bandaancha.eu y probamos a pasarla dentro del parametro url.
www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer
La web de Movistar estuvo mostrando durante todo el día ofertas de 20, 30, 60 y 300 megas, hasta que Movistar decidió intervenir para corregir el problema. Sobre las 21:00 horas, sus responsables, sin tocar el código que que crea el problema, improvisaron un parche llamado en los comentarios "Función arreglo", que previamente comprueba si existe el parámetro url y si es así lo elimina, recargando la página correcta.
if(window.location.href.indexOf('url=')!=-1) { window.location.href='/particulares/internet/movistar-adsl/opciones-tarifas'; }
Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar. Simplemente se trata de una URL algo rebuscada a la que cualquier visitante puede acceder sin tener que saltarse ninguna medida de seguridad.
El problema continúa a pesar del parche
Lo cierto es que incluso con el parche, resulta fácil volver a hacer travesuras con una simple modificación. Visítala mientras dure ;)
http://www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer
Actualización: Finalmente los responsables de la página han modificado el código por segunda vez para codificar directamente la url que debe cargar el iframe sin generarla a partir de los parámetros.